এক নিরাপত্তা গবেষক আজ এক বিস্তারিত Proof-of-Concept কোড পাবলিশ করেন যেটা মাইক্রোসফট ইন্টারনেট এক্সপ্লোরারের জিরো-ডে ভালনেরাবিলিটি — যেটা হ্যাকারদের উইন্ডোজ পিসি থেকে যেকোনো ফাইল চুরি করতে সাহায্য করবে।
ত্রুটিটি খুঁজে পাওয়া গেছে মাইক্রোসফট ইন্টারনেট এক্সপ্লোরারের MHT ফাইলের সাথে। আপনি যখন ইন্টারনেট এক্সপ্লোরার থেকে CTRL+S কম্যান্ড প্রেস করেন কোন ওয়েবপেজকে অফলাইন সেভ করার জন্য তখন ইন্টারনেট এক্সপ্লোরার সেটাকে MHT ফাইলে সেভ করে। যদিও বর্তমান সকল মডার্ন ওয়েব ব্রাউজার অফলাইন পেজকে স্ট্যান্ডার্ড HTML ফাইল ফরম্যাটে সেভ করে, কিন্তু এখনো ইন্টারনেট এক্সপ্লোরার MHT ফাইল ব্যবহার করে।
গবেষকের মতে MHT ফাইলের মধ্যে সহজেই ম্যালিসিয়াস কোড ইঞ্জেক্ট করানো যেতে পারে তারপরে ফাইলটি ওপেন করলেই অ্যাটাকার আপনার পিসির রিমোট আক্সেস এবং ফাইল ডাউনলোড করার আক্সেস পেয়ে যেতে পারে। আপনার সিস্তেমে মাইক্রোসফট ইন্টারনেট এক্সপ্লোরার ব্রাউজারটি ডিফল্ট হিসেবে সেট করা না থাকলেও হবে কেননা MHT ফাইলে ডাবল ক্লিক করলে সেটা সবসময় মাইক্রোসফট ইন্টারনেট এক্সপ্লোরার দ্বারায় ওপেন হয়।
এর মানে ম্যালিসিয়াস MHT ফাইলটি জাস্ট কোন ইমেইল বা ম্যাসেজিং অ্যাপের মাধ্যমে ইউজার পর্যন্ত পৌছাতে হবে তারপরে ইউজার যদি ফাইলটি সিস্টেমে ওপেন করে তবে তার সিস্টেমকে সহজেই আক্রান্ত করানো যাবে। গবেষকটি দাবি করেন তিনি লেটেস্ট মাইক্রোসফট ইন্টারনেট এক্সপ্লোরার ব্রাউজার v11 সাথে উইন্ডোজের লেটেস্ট সিকিউরিটি প্যাচ অ্যাপ্লাই করে উইন্ডোজ ৭, উইন্ডোজ ১০, উইন্ডোজ সার্ভার ২০১২ আর২ ভার্সনে সফলভাবে এই exploit টি কাজে লাগাতে পেড়েছেন।
গবেষক জানান, ২৭ই মার্চে তিনি মাইক্রোসফটকে এই ইন্টারনেট এক্সপ্লোরারের জিরো-ডে ভালনেরাবিলিটি সম্পর্কে অবগত করেন, কিন্তু গতকাল মাইক্রোসফট এর সিকিউরিটি প্যাচ বের করতে অস্বীকার করে। নিচের ম্যাসেজটি গবেষককে সেন্ড করা হয়;
“We determined that a fix for this issue will be considered in a future version of this product or service,” Microsoft said, according to Page. “At this time, we will not be providing ongoing updates of the status of the fix for this issue, and we have closed this case.”
এই রেসপন্সটি পাওয়ার পরে গবেষকটি তার সাইটে proof-of-concept কোডটি পাবলিশ করেন এবং একটি ডেমো ইউটিউব ভিডিও পাবলিশ করেন। তার অনুসারে এই সিকিউরিটি বাগটিকে হালকাতে নেওয়া উচিৎ নয়। যদিও মার্কেটে ইন্টারনেট এক্সপ্লোরার ইউজার অনেক কম, তারপরেও এই বাগ কাজে লাগিয়ে যেকোনো সিস্টেম হ্যাক করা যেতে পারে।
WiREBD এখন ইউটিউবে, নিয়মিত টেক/বিজ্ঞান/লাইফ স্টাইল বিষয়ক ভিডিও গুলো পেতে WiREBD ইউটিউব চ্যানেলটি সাবস্ক্রাইব করুণ! জাস্ট, youtube.com/wirebd — এই লিংকে চলে যান এবং সাবস্ক্রাইব বাটনটি হিট করুণ!
যেহেতু MHT ফাইলের মধ্যে ম্যালিসিয়াস কোড ইঞ্জেক্ট করানো যেতে পারে, তাই প্রত্যেকটি MHT ফাইল ওপেন করার পূর্বে অবশ্যই স্ক্যানিং সিস্টেম থাকা জরুরি। ফাইলটি আপনার সিস্টেমে কেবল ডাউনলোড করা হোক বা মাস ধরে পরে থাকুক না কেন, অবশ্যই স্ক্যান করতে হবে।
Leave a Reply